2011年、これまでの事例にみる脅威とその対策　第2回

Japan Security Team

/ By Japan Security Team / October 24, 2011 / 15 min read

前回は、日本における現在の情報セキュリティーの状況について書かせていただきましたが、今回は、米国で注目されている情報セキュリティの状況について紹介します。
本文中でも紹介するように、米国でも APT(Advanced Persistence Threat：高度で執拗な攻撃)と考えられる攻撃が目立ってきたように思います。日本でも、9 月に報道された防衛産業でのマルウエア感染事例以降、急速に注目が高まっており、政府レベルにおいても色々な対策が取られようとしています。このように、現実として起きている問題の対策が行われることは重要なことなのですが、少々気になることもあります。
まずは、基本的なセキュリティ対策がとれていない状況で APT のような高度な攻撃の対策がとれるのだろうかという疑問です。初級者（スクリプトキディ）にも勝てない初心者が、有段者(APT を使うプロのハッカー）に勝つための必殺技を必死で考えているような可笑しさを感じます。たとえば、不審メールのトレーニングも、何らかの役に立つのだとは思うのですが、初心者が真剣白刃取りをしようとしているようなもので、実質的な効果はないと思います。技術的な問題を、モラルやリテラシーで解決することはできません。技術的な問題に対しては、技術的で合理的な対策が必要だと思います。
前置きが長くなってしまいましたが、今回は米国で注目をされた事例を分析し、次回以降、具体的な対策について紹介をしていこうと思います。

米国で注目された事件

米国での事件を分析しようと考えたのは、大手電機メーカーへの不正アクセスに対する日本の報道が、マイクロソフト本社から流れてくる米国での報道と、ずいぶんと違っていたことがきっかとなった。まず、自分で米国の報道を個別に調べていたが、調べているうちに、自分が着目した視点とほぼ同じ視点で情報を取りまとめたサイトにたどり着いた。今回の分析は、このサイトの情報を使用させていただいている[1]。
このサイトでは、日本で報道されているような、USB 等のメディアや PC を紛失した事例は扱っておらず、このサイトの特性上、当然ではあるのだが外部からの意図的な攻撃（ハッキング）が全体の 80%を占めている。手法を見ていくと、SQL インジェクションが 30%、APT(Advanced Persistence Threat：高度で執拗な攻撃)と考えられるものが 13%を占めている。

公開セグメント

次に、侵害の対象となったシステムを見ていくと、WEB サーバーか、データベースが侵害を受けたケースが 66%を占めており、既に対策が確立したと考えられている公開セグメントからの情報漏えいが、大半を占める結果となった。この傾向は、高いセキュリティレベルを維持しながら公開セグメントの運用を続けることが、とても難しいという事を端的に示しているのかもしれない。

例えば、米国のセキュリティ企業[2]は 2 月に SQL Injection 等の侵入を受け、68,000 通の E-Mail が公表されてしまった。他にも、オンラインマーケティング企業[3]、オンラインゲーム会社[4]、TV 番組のサイト[5]、米上院のサーバー等[6]など、管理がしっかりしており侵入が難しいと考えられるサイトについても、多数の不正アクセス事件が起きている。

これらの事件に対する新たな注目点として、任意の組織や企業グループをターゲットにした意図的な攻撃活動がある。多くのセキュリティ事件を発生させたネットワークワームは、プログラムが生成したランダムな IP アドレスに対して、事前に組み込まれた攻撃を行うもので、広く浅い攻撃が特徴となる。これに対し、任意のターゲットに対する意図的な攻撃は、ターゲットを十分に調査した上での狭く深い攻撃が行われるため、漏れのない、高いレベルの対策が必要となる。
なお、このような特定の組織に対する攻撃が行われる場合、企業における経営上のガバナンスと、ブランドイメージの不一致が問題となっている。企業グループの経営形態として、それぞれのグループ企業が独理性を保った経営を行う場合が少なくないが、このような場合でも、攻撃を行う側や報道からの視点では、同一のブランドとして見られてしまう。すぐに解決ができる問題とは思えないが、少なくとも、グループ企業においてセキュリティ事件が発生した際の対応を明確にする必要があるように思われる。

APT: Advanced Persistence Threat

特殊な攻撃と考えられることの多い APT(Advance Persistence Threat)も目立ってきている。例えば、3 月に世界的に著名なセキュリティ企業が侵入を受け、二要素認証に係わる情報が盗み出される事件が起きた[7]。そして、この情報を使って米国の防衛産業への侵入が行われたと考えられている[8]。

APT の手法は、関係者を装ったメール（標的型攻撃）や、USB 等のメディアなど、利用可能な多数の手法を組み合わせて実行される。APT にはマルウエアが利用される事が多いが、マルウエア対策と考えるよりも、マルウエアを使った高度な「ハッキング」と考えた方が理解しやすい。

APT で利用されるマルウエアは、いわゆるウィルスやワームとは違い、極めて狭い範囲で利用される。例えば、Windows Server のブルースクリーンの解析から新しいマルウエア（RAT:Remote Access Tool）が発見された事例では、同じマルウエアは世界中でわずか 5 件しか検出されなかった。このように極めて少数しか存在しないマルウエアは、セキュリティベンダーが把握することが難しく、結果としてアンチウィルス等で検知できない場合が多い。ある程度の規模で感染するマルウエアを前提としたパターンファイル（ブラックリスト）を使ったウィルス・ワーム対策だけでは、APT の対策は難しいと考える必要がある。

公開セグメントと内部セグメントの比較

公開セグメントへの侵入と APT による内部セグメントへの侵入を比較すると、公開セグメントへの侵入では、メールアドレスやクレジットカード番号と言った顧客情報が大量に流出することが問題となるケースが多い。これに対して、APT による内部セグメントの侵入では、組織の根幹にかかわる機密性の高い情報が狙われる。例えば、前述のセキュリティ企業の例では、二要素認証の根幹にかかわる情報であり、昨年(2010 年)1 月に話題となった、Operation Aurora では、Web メールシステムのソースコードがターゲットと考えられている[9]。また、日本で発生した防衛産業の事例も、同様の機密性の高い情報の詐取が懸念されている。

分析結果から読み取れる傾向

今回は、日本と米国での情報セキュリティ事件の分析結果を紹介した。
日本の事例の分析では、紛失と盗難が 60%を占めており、紙などの媒体、USB 等のメディアやＰＣが主要な流出媒体となっている。しかし、セグメントごとに見ると、いわゆる不正アクセスが原因となる情報流出が目立つという結果となった。
米国の事例では、話題となった事例の多くは不正アクセス（ハッキング）に分類されるもので、公開セグメント上の Web サーバーやデーターベースからの詐取が 70%近くを占めている。また、APT と呼ばれる高度な攻撃も目立つようになってきており、これまで考えられなかったような深刻な被害も機密性の高い内部情報が詐取されている。
このような分析結果から、今、考えなければならないセキュリティ対策として、次の項目が重要であると考えられる。